App Android, servizi cloud mal configurati mettono a rischio i nostri dati: i dettagli - Cyber Security 360

L'ANALISI TECNICA

App Android, servizi cloud mal configurati mettono a rischio i nostri dati: i dettagli

Sono state individuate 23 app Android che, a causa di errori commessi dagli sviluppatori nelle configurazioni dei servizi cloud di terze parti, hanno messo in pericolo i dati personali di milioni di utenti esponendoli a frodi online e furti di identità. Ecco che c’è da sapere e come proteggersi

21 Mag 2021
Paolo Tarsitano

Editor Cybersecurity360.it

Sono più di 100 milioni gli utenti Android esposti a frodi online e furti di identità a causa di 23 applicazioni mal progettate (alcune con oltre 10 milioni di download) che hanno reso accessibili dati personali e sensibili come data di nascita, numeri di telefono, dettagli di pagamento, e-mail, messaggi di chat, posizione geografica, password e foto.

Il problema di sicurezza, segnalato dagli analisti di Check Point Research, è stato individuato in una serie di configurazioni errate dei servizi cloud di terze parti come real-time database, gestori di notifiche e cloud storage o nell’accesso ai meccanismi di aggiornamento.

Ma la cosa più preoccupante di tutta la faccenda è che, nonostante tutti gli sviluppatori siano stati contattati dagli stessi ricercatori, solo una delle app incriminate ha cambiato le sue impostazioni per rendere private le informazioni degli utenti.

Così le app espongono i dati degli utenti

Se è vero che i database con accesso in tempo reale mal configurati non sono una sorpresa, la scoperta dei ricercatori di Check Point ha dimostrato che molti sviluppatori Android non seguono le pratiche di sicurezza di base per limitare l’accesso proprio ai database delle app.

Un problema molto diffuso che può essere facilmente sfruttato per scopi malevoli.

È vero, infatti, che gli sviluppatori di app mobile utilizzano i real-time database per memorizzare i dati nel cloud e sincronizzarli in tempo reale con i client connessi. I ricercatori hanno quindi scoperto che, nel caso di 13 applicazioni, i database non sono protetti e chiunque potrebbe accedere alle informazioni personali degli utenti.

In particolare, i ricercatori Check Point hanno indicato tre applicazioni (riportate nella tabella sottostante) ancora disponibili su Google Play Store che risultano vulnerabili a causa di cattive configurazioni del real-time database.

Applicazione

Tipologia

Dati esposti

Download

Astro Guru

App di astrologia, oroscopo e chiromanzia

Nome, data di nascita, sesso, posizione geografica, e-mail e dettagli di pagamento

10 milioni

T’Leva

Taxi app

Messaggi delle chat tra autisti e passeggeri dei taxi per recuperare i nomi degli utenti, i numeri di telefono, il punto di partenza e di arrivo della corsa in taxi

50mila

Logo maker

Tool per lo sviluppo di template grafici e loghi

E-mail, password, username e user-ID

10 milioni

Vulnerabilità insite nelle notifiche push delle app

Un altro difetto di sicurezza delle app è stato individuato anche nelle notifiche push. Gli sviluppatori, infatti, le utilizzano per interagire con gli utenti.

Il problema è che la maggior parte dei servizi di notifiche push richiedono una chiave per riconoscere l’identità di chi invia la richiesta. In un certo numero di applicazioni, però, è possibile risalire alle credenziali necessarie per accedere a questi servizi.

E se è vero che in genere i dati del servizio di notifica push non sono sempre sensibili, la capacità di inviare notifiche per conto dello sviluppatore è più che sufficiente per attirare attori malintenzionati.

In chiaro le chiavi di accesso al cloud

I ricercatori di Check Point hanno pubblicato anche i dettagli di alcune applicazioni presenti sul Play Store che memorizzano in chiaro le chiavi di accesso al cloud storage usato per accedere ai file condivisi dallo sviluppatore o dall’app installata.

Molti sviluppatori di app sanno che memorizzare le chiavi dei servizi cloud nella loro app è tutto tranne che una best practice. Per superare questo ostacolo, alcuni sviluppatori hanno adottato il principio della ” security through obscurity”, cioè hanno offuscato la chiave segreta utilizzando la codifica base64, che però non aggiunge alcuna protezione in quanto la procedura di decodifica non è in alcun modo protetta.

Applicazione

Tipologia

Dati esposti

Download

Screen Recorder

App per registrare lo schermo del dispositivo e memorizzare le registrazioni su un servizio cloud

Accesso ad ogni registrazione memorizzata

10 milioni

iFax

Invio e ricezione di fax dal dispositivo Android

Dati sulla trasmissione dei fax

500mila

I consigli per mettere in sicurezza il proprio dispositivo

Da quanto visto finora è evidente che per l’utente non è affatto semplice difendersi da questo tipo di minaccia.

Secondo Aviran Hazum, Manager of Mobile Research di Check Point, “la maggior parte delle app che abbiamo osservato sta ancora esponendo dei dati. La loro raccolta, soprattutto l’utilizzo da parte degli hacker, è preoccupante. In definitiva, le vittime diventano vulnerabili a molti vettori di attacco diversi, come le impersonificazioni, il furto di identità, il phishing e i service-swipe. La nostra ultima ricerca fa luce su una realtà inquietante in cui gli sviluppatori mettono a rischio non solo i loro dati, ma anche quelli dei loro utenti privati. Non seguendo le best practice durante la configurazione e l’integrazione di servizi cloud di terze parti nelle app, decine di milioni di dati privati sono stati esposti”.

L’auspicio dell’analista è che la scoperta fatta induca la comunità degli sviluppatori a prestare la massima attenzione a come vengono utilizzati configurati i servizi cloud di terze parti.

Come possono stare al sicuro gli utenti?

Per mitigare queste minacce, i ricercatori di Check Point raccomandano una cosa soltanto: l’installazione di un’efficace soluzione di difesa dalle minacce mobile in grado di rilevare e rispondere a una varietà di attacchi diversi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4